Keylogger omzeilen

Windows XP:
Start -> Programs -> Accessoires -> Accessibility -> On-Screen Keyboard

Andere OS'en:
een alternatief programma met dezelfde strekking, zijn vast wel te vinden

Maar ik weet niet zeker óf keyloggers dit niet kunnen afvangen.

[ Voor 22% gewijzigd door OnTracK op 29-05-2005 23:09 ]

Er zijn zogenaamde "keylog" detectors maar hoe goed deze werken weet ik niet. Het is altijd mogelijk jouw keystrokes te recorden omdat deze op een stadium toch gewoon leesbaar moeten zijn / blijven voor het OS.

Met welke keylogger test je eigenlijk?

Stel jij hebt een QWERTY toetsenbord. Vervolgens stelt de software het in Windows in als een Zuid Mandarijns toetsenbord. Alle door jou getypte tekens zullen dan compleet anders binnenkomen in Windows, maar de "anti keylogger software" weet dat het hier om andere tekens zou moeten gaan en kan het zaakje omzetten en door sturen zoals het On-Screen Keyboard dat zou doen.

Ik weet niet of dit soort software bestaat, maar dit lijkt me een oplossing.

Ik vermoed dat het probleem niet op te lossen is. Als het systeem waarop je werkt gecompromitteerd is, heb je nooit de zekerheid dat je password niet ergens in het OS wordt afgevangen.

als je het nu beide op een systeem probeert ?
-keylogger + keyboard opties ?

een ander TB instelling helpt meer voor de meekijkers over de schouder

Dit kan volgens mij niet. Toetsenaanslagen worden via windows-messages aan het programma aangeleverd. Die dingen zijn dus gewoon af te luisteren.

Ik had gedacht ik download keePassword safe , die slaat al mijn wachtwoorden op en vult ze allemaal automatisch in, zonder dat ik ze intyp via het toetsenbord. Helaas de keylogger kan ook deze wachtwoorden loggen.

Die worden dan waarschijnlijk ook via windows-messages verstuurt. Je simuleert gewoon toetsaanslagen op die manier (daarom ziet de keylogger ze ook als toetsaanslagen, het programma heeft geen flauw idee dat het geen echte toetsaanslagen zijn).

Je neemt notepad.... typt daarin 1maal alle letters van het alfabet + de 10 cijfers.
Vervolgens copy paste je iedere letter/cijfer van je wachtwoord individueel naar het inlogscherm inclusief een paar letters/cijfers die niet in je wachtwoord voorkomen. Deze "nep"tekens delete je voordat je gaat inloggen.

Heb geen idee of dit zal werken, maar zoiets heb ik al behoorlijk lang in gedachten om een keylogger te omzeilen.

Er zijn verschillende soorten keyloggers. Er zijn software matige (een applicatie die meestal wel te verwijderen is) en hardwarematige keyloggers.

De software is te verwijderen. Meestal makkelijk maar soms lastig. Omzeilen is bij de echte keyloggers NIET mogelijk. Deze hebben zoveel inteligentie aan boord dat ze alle tekens die je intypt netjes ordenen en doorsturen of opslaan op HD. Ook als je bij het inloggen heel veel foute "wachtwoorden" ingeef zal het toch het juiste wachtwoord kunnen achterhalen.
Omzeilen mbv een on-screen keyboard is NIET mogelijk omdat de (goede) sofware keyloggers dat ook zien als keyboard en dus die aanslagen ook herkennen. Hetzelfde geld voor USB, Infrarood, Bluetooth enz keyboards.

Hardware keyloggers zijn stukjes hardware ( ) in het toetsenbord snoer. Die word tussen de systeem kast en de toetsenbord in gemonteerd en je moet dus fysiek toegang hebben tot de PC. Deze kunnen de toetsaanslagen doorsturen mbv Bluetooth, wifi, of radio signalen naar een server. Deze zijn vaak erg inteligent en kunnen alle soorten aanslagen herkennen.Ook zijn ze er met een Memmory stick ingebouwd. Maar dan moeten ze de gegeven fysiek ophalen.

Het beste is om je files te encrypten met een smartcard of andere two-way authenticatie (iets dat je hebt en iets dat je weet). Helaas zijn er niet veel applicaties voor stand-alone systemen die dat goed doen. Meestal kom je dan in een enterprise systeem. Windows EFS kan trouwens GEEN gebruik maken van smartcards. Maar dan moet je wel een smartcard reader kopen met een keyboard in de reader zelf. Anders kunnen ze jou PIN heel makkelijk achterhalen.

Ik vind zelf BestCrypt best goed. Er zijn ook applicaties die een soort key file nodig hebben. Dan heb je een wachtwoord en de keyfile nodig om je files toe openen.

Voor passwords gebruik ik zelf password safe van Bruce Schneier. KeePass vind ik zelf al te uitgebreid. Maar niet met de functies die ik zou willen zien. KeePass en Pasword safe zijn beide opensource. Voor security applicaties is dat beter.

[ Voor 35% gewijzigd door bolke op 30-05-2005 08:47 ]

Het OS-keyboard stuurt niets meer door dan events, en die events kunnen dan opgevangen worden door een keylogger. De meest simpele loggers luisteren dan ook de windows events af.

Legion schreef op maandag 30 mei 2005 @ 01:59:
Je neemt notepad.... typt daarin 1maal alle letters van het alfabet + de 10 cijfers.
Vervolgens copy paste je iedere letter/cijfer van je wachtwoord individueel naar het inlogscherm inclusief een paar letters/cijfers die niet in je wachtwoord voorkomen. Deze "nep"tekens delete je voordat je gaat inloggen.

Heb geen idee of dit zal werken, maar zoiets heb ik al behoorlijk lang in gedachten om een keylogger te omzeilen.

Software keyloggers kijken niet alleen naar wat je intypt. Maar ook challenge/responses van het systeem. Zoals key-strings die naar het systeem worden gestuurd.

[ Voor 6% gewijzigd door bolke op 30-05-2005 08:46 ]

Legion schreef op maandag 30 mei 2005 @ 01:59:
Je neemt notepad.... typt daarin 1maal alle letters van het alfabet + de 10 cijfers.
Vervolgens copy paste je iedere letter/cijfer van je wachtwoord individueel naar het inlogscherm inclusief een paar letters/cijfers die niet in je wachtwoord voorkomen. Deze "nep"tekens delete je voordat je gaat inloggen.

Heb geen idee of dit zal werken, maar zoiets heb ik al behoorlijk lang in gedachten om een keylogger te omzeilen.

De TS gaf al aan dat zijn klembord ook werd gemonitord. Volgens mij zien jullie trouwens allemaal een belangrijk stukje informatie over het hoofd:

Anoniem: 90842 schreef op zondag 29 mei 2005 @ 22:57:
[...]

Ik heb hier een programma draaien, Bestcrypt die een soort van container aanmaakt op mijn harde schijf en om die container binnen te geraken moet ik ook inloggen, maar wat zie ik, bij het inloggen worden zowel gebruikersnaam en wachtwoord niet gelogd. Er wordt totaal iets anders gelogd dan wat ik intyp, ik vermoed dus dat ze op de een of ander manier er toch in slagen om de keylogger om de tuin te leiden? Kan ik dit bij al de programmas? Of moet je toepassing daar echt op voorzien worden.

Geeft de website van Bestcrypt geen uitsluitsel over hoe dit bereikt wordt?

Het ligt er aan of het een hardwarematige keylogger is (lees: zo'n een die tussen je tobo en pc zit) of een softwarematige....

De hardmatige kun je omzeilen door een onscreen tobo te gebruiken.
Software kan door te knoeien met de tobo indeling icm met een keylog detector

Spider.007 schreef op maandag 30 mei 2005 @ 08:29:
[...]

De TS gaf al aan dat zijn klembord ook werd gemonitord. Volgens mij zien jullie trouwens allemaal een belangrijk stukje informatie over het hoofd:
[...]
Geeft de website van Bestcrypt geen uitsluitsel over hoe dit bereikt wordt?

De kans is redelijk groot dat een andere keylogger de bestcrypt inlog informatie wel gewoon oppakt.

Stel je pw is aap
Je inlog-app vertelt je waar je random karakters in mag voegen, dus bijvoorbeeld na elke letter.

Dan tiep je in je pw-scherm in a5a3p2
De keylogger kan *niet* zien waar je delete of het nou goed is of niet.

Vinnienerd schreef op maandag 30 mei 2005 @ 12:31:
Stel je pw is aap
Je inlog-app vertelt je waar je random karakters in mag voegen, dus bijvoorbeeld na elke letter.

Dan tiep je in je pw-scherm in a5a3p2
De keylogger kan *niet* zien waar je delete of het nou goed is of niet.

Nee, maar hij heeft wel de letters waar het password uit bestaat, in dit geval weet hij dus dat het wachtwoord in ieder geval een paar van die karakters bevat. Dan is het gewoon een kwestie van de combinaties uitproberen, in dit geval zijn dat er minder dan 20 denk ik. Misschien wel nog minder, een keylogger kan ook wel de backspaces en deletes loggen. Ingevulde karakters - backspace = password lengte, password = random combinatie van ingevulde gegevens met lengte van password lengte, makkelijk om dus achter het wachtwoord te komen.

ik ben nu ook op zoek naar zo'n keylogger-detection programma

heeft iemand inmiddels misschien een tip welke software een keylogger kan detecteren?

[ Voor 4% gewijzigd door Anoniem: 51455 op 20-08-2005 18:25 ]

Van wie is die PC? Van jezelf? Dan kun je gewoon een format doen!

Anders kijk je in processen en beëindig de foute processen, het moet in de processen staan.

nljagfan schreef op zaterdag 20 augustus 2005 @ 18:31:
Van wie is die PC? Van jezelf? Dan kun je gewoon een format doen!

Anders kijk je in processen en beëindig de foute processen, het moet in de processen staan.

PC is van mezelf, ja

ik heb gekeken in actieve processen, maar daar staat zoveel
weliswaar geen keylog.exe ofzo, maar het kan ook een andere naam hebben neem ik aan?

Keylog.exe is een te opvallende naam. Probeer eens met hijackthis, post de log op hijackthis.de en kijk wat er niet hoort.

Pest Patrol 4.xx/5.xx hebben een goeie keylog-scanner, verder kan je Process Explorer gebruiken bij www.sysinternals.com weg - werkt uitstekend.

Verder raad ik je aan om je register even na te kijken of er niet smerige FTP-truukjes worden uitgehaald om de foute boel automatisch weer te herinstalleren.

SkyStreaker schreef op zondag 21 augustus 2005 @ 09:53:
Pest Patrol 4.xx/5.xx hebben een goeie keylog-scanner, verder kan je Process Explorer gebruiken bij www.sysinternals.com weg - werkt uitstekend.

Verder raad ik je aan om je register even na te kijken of er niet smerige FTP-truukjes worden uitgehaald om de foute boel automatisch weer te herinstalleren.

Thnx, die Process Explorer is idd erg handig! Heb overigens geen verdachte processen daarmee kunnen ontdekken. Nu nog ff die Pest Patrol checken.

Je kan ook voorkomen dat een keylogger 'naar buiten' gaat, door hem met een firewall tegen te houden.

Ik heb er eigenlijk geen idee van of dat helpt

[ Voor 26% gewijzigd door Resistor op 21-08-2005 11:35 ]

*kuch*

Resistor schreef op zondag 21 augustus 2005 @ 13:08:
*kuch*

zit ik net te lezen, maar ik kan bij de Remove Programs-list niks vinden en als ik zoek op Keylogger kan ik ook geen directory vinden...

Vinnienerd schreef op maandag 30 mei 2005 @ 12:31:
Stel je pw is aap
Je inlog-app vertelt je waar je random karakters in mag voegen, dus bijvoorbeeld na elke letter.

Dan tiep je in je pw-scherm in a5a3p2
De keylogger kan *niet* zien waar je delete of het nou goed is of niet.

Het is een keylogger dus alle toetsenbord aanslagen worden onthouden. Me wachtwoord is aap maar ik typ a5a3p2. De keylogger ziet dat je dat typt en zie vervolgens ook dat je tekens weghaalt en met je toetsenbord andere zaken aan het doen bent.

Een goede keylogger houd minimaal het volgende bij:

Windows events
Windows toetsenbord emulatie
Toetsenbord
Muis (of deze gebruikt wordt tijdens het typen)
Klembord
Welk programma actief is tijdens het typen
Land en taal instelling

Alles wat je verzint om het te omzeilen kan gededecteerd worden alle aanslagen of lees tekens gaan via het OS, aangezien deze dient te weten wat er gebeurd zodoende kan alles toch alles afgeluisterd worden.
Al zou je gebruik maken van een andere toetsenbord instelling en dan via een programma laten vertalen dan nog kan je dit achterhalen. Hij slaat de naam op van programma en je kan gaan zoeken op internet wat het is en hoe het werkt. Dan nog het programma emuleert een toetsenbord aanslag die gewoon weer afgeluisterd kan worden.

we_are_borg schreef op zondag 21 augustus 2005 @ 13:29:
[...]


Het is een keylogger dus alle toetsenbord aanslagen worden onthouden. Me wachtwoord is aap maar ik typ a5a3p2. De keylogger ziet dat je dat typt en zie vervolgens ook dat je tekens weghaalt en met je toetsenbord andere zaken aan het doen bent.

Een goede keylogger houd minimaal het volgende bij:

Windows events
Windows toetsenbord emulatie
Toetsenbord
Muis (of deze gebruikt wordt tijdens het typen)
Klembord
Welk programma actief is tijdens het typen
Land en taal instelling

Alles wat je verzint om het te omzeilen kan gededecteerd worden alle aanslagen of lees tekens gaan via het OS, aangezien deze dient te weten wat er gebeurd zodoende kan alles toch alles afgeluisterd worden.
Al zou je gebruik maken van een andere toetsenbord instelling en dan via een programma laten vertalen dan nog kan je dit achterhalen. Hij slaat de naam op van programma en je kan gaan zoeken op internet wat het is en hoe het werkt. Dan nog het programma emuleert een toetsenbord aanslag die gewoon weer afgeluisterd kan worden.

dat is duidelijk

maar hoe kom ik ervan af??

Er zit een setup in de zipfile welke je kan downloaden. Je hebt het al geinstalleerd staan, wellicht interessant om dat eens uit te voeren?

Daarbij: met die fileexplorer kan je zien welk proces welke files open heeft. Ben je weer een stap verder!

De betere antivirus software herkennen behalve virussen ook bekende keylogger, maar dat is dus een detectie controle maatregel.

Het enige wat als preventieve maatregel een keylogger echt kan tegengaan is invoeren van een 1 time password, een wachtwoord voor eenmalig gebruik. Dan heeft de logger je wachtwoord gestolen, maar dat is dan onbruikbaar. Zie je bij de bank "calculators" van bijv. ABN-AMRO en de TAN codes van de Postbank. Voor het bedrijfsleven zijn er tokens, zoals van RSA.

[ Voor 4% gewijzigd door Anoniem: 89691 op 21-08-2005 14:07 ]

Ik geloof niet dat je een goede keylogger kunt omzeilen. Er zijn trouwens ook hardware keyloggers in omloop die je tussen je toetsenbord en pc plaatst

DiedX schreef op zondag 21 augustus 2005 @ 14:01:
Er zit een setup in de zipfile welke je kan downloaden. Je hebt het al geinstalleerd staan, wellicht interessant om dat eens uit te voeren?

thnx, ik heb het programma geinstalleerd en daarmee kon ik alles uninstallen....dacht ik

heb weer die pestpatrolscan gedaan en hij vindt die keylogger nog steeds, maar nu op een andere locatie:

Key Logger "Family Key Logger" found in:
key "hkey_local_machine \software\kmint21\familykeylogger"

Anoniem: 51455 schreef op zondag 21 augustus 2005 @ 19:03:
[...]


thnx, ik heb het programma geinstalleerd en daarmee kon ik alles uninstallen....dacht ik

heb weer die pestpatrolscan gedaan en hij vindt die keylogger nog steeds, maar nu op een andere locatie:

Key Logger "Family Key Logger" found in:
key "hkey_local_machine \software\kmint21\familykeylogger"

Dat wil gewoon zeggen dat ie niet meer op je hdd staat, dit is enkel een verwijzing naar je register van windows

Deze registry key kan je gewoon verwijderen door Start - Uitvoeren - Regedit te doen, de key op te zoeken en te deleten.

Maar let op wat je daar doet, want je register verneuken, dat heeft je pc niet zo graag

Anoniem: 41820 schreef op zondag 21 augustus 2005 @ 19:21:
[...]


Dat wil gewoon zeggen dat ie niet meer op je hdd staat, dit is enkel een verwijzing naar je register van windows

Deze registry key kan je gewoon verwijderen door Start - Uitvoeren - Regedit te doen, de key op te zoeken en te deleten.

Maar let op wat je daar doet, want je register verneuken, dat heeft je pc niet zo graag

Ok dan, thnx

goed nieuws dus

als ik meer tijd heb, ga ik'm wel een keer verwijderen uit de registry, daar moet ik me dan ook weer ff in verdiepen

Anoniem: 51455 schreef op zondag 21 augustus 2005 @ 20:34:
[...]


Ok dan, thnx

goed nieuws dus

als ik meer tijd heb, ga ik'm wel een keer verwijderen uit de registry, daar moet ik me dan ook weer ff in verdiepen

Ik kan je vrijwel zeker vermelden dat je dat stukje gewoon kan weghalen. Ga in Windows Veilige modus, gewoon - voor de zekerheid.
selecteer de sleutel (exporteer hem eerst = backup), verwijder hem daarna. Start je PC opnieuw op. Klaar. Als Windows begint te zeuren over FamilyKeynogwat, dan kan je er ook gemakshalve van uit gaan dat de keylogger nog niet helemaal is verwijderd.

LOL! Als die methode werkt, dan zijn het wel prutsers